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Verfahren zur Verarbeitung von Daten 



Die Erfindung bezieht sich auf ein Verfahren zur Verarbeitung von Daten. 
TECHNISCHER HINTERGRUND ' 

Software und Inhalte, wie beispielsweise Musik, konnen heute uber das Internet 
kostengunstig verbreitet werden. Es wurde eine Vielzahl von Kopierschutzme- 
chanismen zur Durehsetzung von Urheberinteressen entwickelt. Der Schutz von 
Inhalten ist schwierig> wenn der Konsument der Mensch ist, der die Inhalte in 

. unverschlusselter Form erwartet. Wahrend des Konsumierens kann jeder Inhalt 
in analoger Form aufgezeichnet, digitalisiert und dann kopiert werden. Dieses 
Problem wird analogue hole genannt. Das illegale Kopieren von .Inhalten kann 
nach heutigem Stand der Technik nur behindert, aber nicht verhindert werden. 
Das Problem des analogue hole gibt es nicht bei der Ausfuhrung-von Software. 
Zwar ist der Benutzer einer Software der Mensch; der direkte konsument" ist 
aber ein Computer oder ein Prozessor. Deshalb ist es moglich, die Software oh- 
ne storende Auswirkungen fur den Benutzer durch Kopierschutzmechanismen zu 
verandern. Unter dem Begriff Softwares chuiz soli der Schutz des intellektuellen 
Eigentums, das mit der Software verbunden ist, verstanden werden. Hierzu ge- 
hort das Wissen iiber das Anwendimgsgebiet der Software, uber spezifische Pro- 

. bleme dieses Gebiets und deren Losungen, die in der Software umgesetzt werden. 
Auch alle Techniken zur Erstellung der Software, die- problem- oder losungsspe- 
zifisch sein konnen, gehoren zum schutzenswerten intellektuellen Eigentum. Oft 
will ein Urheber sein Wisseri schiitzen und sicherstellen, dass nur er die Software 
weiterentwickeln kann. Zum Schutz der genannten Werte ist es notwendig, eine 
Rekonstruktion (Reverse-Engineering) des Quellkodes oder eines aquivaleriten 
Programmkodes mit Hilfe einer Analyse des Maschinenkodes.der Software zu 
verhindern oder sicherzustellen, dass der Aufwand der Analyse grofier ist als die 
Entwicklung der Software. Softwareschutz kann die Verhinderung einer unaut- 
horisierten Benutzung der Software einschliefien. Fiir dies en Zweck geschaffene 
Schutzverfahren und -vorrichtungen nennt man Softwarekopierschutz, dbwohl 
viele Verfahren und Vorrichtungen nicht das Kopieren verhindern, sondern die 
Benutzung der Software. Dadurch wird ein illegales Kopieren demotiviert. 

STAND DER TECHNIK 

Bei bekannten Softwarekopierschutzverfahren werden Daten aus der Applikation 
. an eine geschiitzte Hardware ubertragen, von der Hardware verschlusselt und an- 
schliessend von der Apphkation'entschliisselt oder mit vor der Compilierung der 



Applikation verschliisselten Daten verglichen. Nur bei korrekter Verschliisselung 
der Daten durch die Hardware arbeitet die Applikation korrekt. Bine Methode 
zur Umgehung dieses Schutzes ist das.Entfernen des Vergleiches der Daten aus 
dem Maschinenkode. Hierfur gibt es Gegenmassnahmen: Die Applikation uber- 
pruft sporadisch die Integritat des Maschinenkodes, so dass ein Angreifer auch 
diese Uberpriifungen finden muss. Ein einfacherer Weg zur Umgehung des Soffc- 
warekopierschutzes ist daher folgender: Der Angreifer bepbachtet die Kommuni- 
kation zwischen der Applikation und der. Hardware. Er erstellt eine Tabelle mit 
den ausgetauschten Daten und simuliert die Hardware mit Hilfe dieser Tabelle in 
einem neu erstellten Hardware-TVeiber. Eine Gegenmafcnahme ist die Implemen- 
tierung'vieler Kornmunikationsvorgange mit der Hardware. Dabei werden auch 
Zufallszahlen an die Hardware gesendet, so dass eine Tabelle zu grofi werden 
wurde. Die von der Hardware verschliisselten Werte werden vera der Applikation 
nur zurri Schein verarbeitet. Entweder ist der Angreifer jetzt uberzeugt, dass er 
die oben genannten Integritats-Oberprufungen finden* und entfernen muss, oder 
er beobachtet die Kornmunikationsvorgange. Er schreibt jeden an die Hardware 
gesendeten Wert in einen grofcen Speicher und prviffc, welche Werte mehrfach 
gesendet werden. Nur diese Werte werden mit hoher Wahrscheinli chkeit von der 
Applikation wirklich verarbeitet. Die Hardware-Simulation benutzt dann eine 
Tabelle mit diesen Werten. Wird in der Simulation zu einer bestimmten Einga- 
be kein Eintrag in der Tabelle gefunden, wird mit einer Zufallszahl geantwortet, 
denn die Applikation konnte die Streuung der Antworten auswerten und erken- 
nen. Die labelle ist deutlich kleiner als der zuvor benutzte Speicher. 

In dem in [4] beschriebenen Softwarekopierschutzverfahren wird in einem mit 
dem PC verbundenen Steckerbauteil und parallel dazu in der geschiitzten Ap- 
plikation eine Kryptofunktion berechnet. Teilfunktionen dieser Kryptofunktion 
konnen in die Applikation an verschiedenen Stellen eingefugt werden, so dass 
eine Extraktion ohne eine Semantik- Analyse des Programmkodes nicht moglich 
ist. Mit Hilfe der Ausgabewerte der Kryptofunktion werden Berechnungen der 
Software verfalscht und kurz vor einer schadlichen Auswirkung auf den Abjauf 
der Applikation mit Hilfe der Ausgabewerte des Steckerbauteils korrigiert. Ohne 
das fur einen Angreifer nicht reproduzierbare Steckerbauteil ist die geschiitzte 
Applikation nicht benutzbar. Das beschriebene Verfahren hat den Nachteil, dass 
.die Integration der Teilfunktionen in die zu schutzende Software sehr aufwendig 
ist.- 

Bei einem weiteren Softwarekopierschutzverfahren werden Teile des zu schiit- 
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zenden Program ms in einem nicht auslesbaren Speicher einer Smartcard gehal- 
;ten und von dem Smartcardcontroller ausgefuhrt. Die t)bertragung dieser Tteile 
erfolgt nur in verschlusselter Form. Beispiele fur solche Prozessoren sind Vor- 
richtungen in Form von USB-Geraten der Firmen Syncrosoft [12] und Sospita 
[11]. Die Verschliisselung der Software bei diesem Verfahren verhindert auch ein 
Reverse-Engineering. 

Ein Nachteil der Ausfiihrung des Programmkodes in einem speziellen, mogli- 
cherweise extern an den PG angeschlossenen Prozessor liegt in dem schlechten 
Durchsatz. Zwar ist diese fiir die Ausfiihrung von Digital- Right-Management- 
Transaktionen ausreichend, jedoch ist die Ausfiihrung von wesentlichen Tteilen 
einer zu schiitzenden Applikation in vielen Fallen zu langsam. Die Integrati- 
on von Vorrichtungen zur Progranamentschiusselung und geschutzten Ausfiih- 
rung in einen PCrProzessor ware sehr teuer und wiirde zu Standardisierungs- 
und Kompatibilitats-Problemen bei der Entwicklung und Verbreitung neuer • 
Prozessor- Versionen fuhren. 

In [10] wird ein Verfahren gegen Reverse-Engineering von Software beschrie- 
ben, das logische Verbindungen zwischen elementaren Operationen des Pro- 
gramms und Datenflussen durch Einfuhrung komplexer Adressierungsmecha- 
nismen verschleiert. Ein Nachteil dieser Erfindung zeigt sich bei dem Versuch, 
objekt^orientiert entwickelte Software zu schiitzen. Objekt-orientiert entwickelte 

" Software enthalt im all gem einen sehr kuxze Methoderi, die aus wenigen Program- ' 
minstruktionen bestehen und mei'st.sehr einfache Datenflusse mit einer kleinen 
Anzahl von Variablen realisieren. Wenigstens in diesem Fall ist das beschriebene 

. Verfahren nicht wirkungsvoll. Weiter ist fiir dieses Verfahren keine Moglichkeit 
bekannt, die eine schwer trennbare Verkniipfung mit einer Hardware herstellt 
und somit das Kopieren der transformierten Software verhindert. 

AUFGABE 

Der vorhegenden Erfindung liegt die Aufgabe zugrunde, Verfahren zur Verar- 
beitung von Daten zu schaffen, die eine Semantik- Analyse "offengelegter, mog- 
licherweise weniger Verarbeitungsschritte erschwert oder verhindert und eine - 
fur einen Angreifer schwer trennbare Verkniipfung des Verarbeitungsverfahrens 
mit einer Hardware ermoglicht. DieAnwendung des Verfahrens auf vorgegebene 
Verarbeitungsschritte soil mit geringem Aufwand moglich sein. 

LOSUNG 

Die Aufgabe wird durch die Anspruche 1 und/oder 9 und/oder 20 gelost. 
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Gemass Anspruch 1 wird ein Petri-Netz kodiert, dessen Transitionen Symbole 
oder Symbolketten mit Hilfe ernes oder mehrerer Kopfe mit wenigstens eirtem 
Band austauschen. Die Kodierung des Petri-Netzes wird in einen Speicher ge- 
schrieben und von wenigstens ein ex Instanz gelesen und ausgefuhrt. Petri-Netze 
und die Begriffe "Stelle", "Transition" und "Markierung" werden in [6] und [8] be- 
schrieben. Die Begriffe "Kopf" und "Band" werden in Anlehnung an die Begriffe, 
die eine Turing-Maschine b'eschreiben, benutzt, wobei das Band aus technischen 
Griinden im Unterschied zum Model! der Turing-Maschine endlich ist. Turing- 
Mas chin en werden beispieisweise in ]5] beschrieben. Vorzugsweise wird bei jedem 
Lese- und Schreibvorgang der Kopf auf dem. Band bewegt. Die Kopfbewegung 
kann aber auch steuerbar sein. Weiter ist das Vorhandensein von wenigstens 
zwei Kopfen fur die Arbeitsgeschwindigkeit vorteilhaft, weil die meisten Ope- 
rationen mit wenigstens zwei ' Operanden arbeiten. Bin Band kann- ein Register 
eines Processors oder eine Speicherzelle eines RAMs sein. Ein Kopf kann ein 
Register mit einer Maske zur Maskierung von Werten des Bandes sein. Unter 
der Ausfiihrung eines Petri-Netzes soil hier das Schalten von Transitionen des 
Petri-Netzes verstanden werden. Durch die Ausfiihrung des Petri-Netzes, das auf 
Bandera arbeitet, werden Daten verarbeitet. Der Speicher und die ausfuhrende 
Instanz bzw. die ausfuhrenden Instanzen kann bzw. konnen auf viele Weisen ge- 
staltet werden. Fiir den Ernndungsgedanken ist wichtig, dass die Semantik, die 
hinter dem Petri-Netz stent, auch bei Kenntnis des Petri-Netzes schwer analy- 
sierbar ist. Die Erzeugung und Kodierung des Petri-Netzes erfolgt vorzugsweise 
in einem anderen Speicher als die Ausfiihrung. Die Kodierung des Petri-Netzes, 
der Kopfe, Bander, Felder und. Symbole ist in vielen Varianten moglich. Ein 
Angreifer, der Kenntnis iiber die Semantik des Petri-Netzes erlangen mochte, 
hat nur die Moglichkeit, das Petri-Netz mit den ihm bekannten Petri-Netzen zu 
vergleichen, oder die Semantik mit Hilfe von Ein- und Ausgabe-Beispielen zu 
erraten. Nach Anspruch 20 kann das Petri-Netz Symbole oder Symbolketten von 
• einer kryptologischen Funktion empfangen und verarbeiten. Die kryptologische 
Funktioii kann mit der das Petri-Netz ausfuhrenden Vorrichtung fest verbun- 
den sein, so dass eine fur einen Angreifer schwer trennbaxe Verknupfung des 
Verarbeituhgsverfahrens mit einer .Hardware hergestellt ist. 

In einer Ausgestaltung der Erfindung bildet das Petri-Netz, der Kopf oder die 
Kopfe und das Band oder die Bander eine universeUe Tufing-Maschine. Ein 
Petri-Netz kann die endliche Kontfolle der Turing-Maschine bilden. Auf dem 
Band der universellen Turing-Maschine ist die Kodierung einer Turing-Maschine 
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oder einer universellen Taring-Mas chine gespeichert.Im letzten Fall kann wie- 
denim eine Taring- Mas chine oder eine universelle Taring-Mas chine auf dem 
Band der zul'etzt genannten universellen Taring-Mas chine gespeichert sein usw. 
Diese Rekursion kann weitergefuhrt werden. Bine Semantik- Analyse der Verar- 
beitungsschritte bei der Ausfuhrung des Petri-Netzes wird mit jeder Rekursion 
zunehmend erschwert. 

In einer weiteren Ausgestaltung des Verfahrens tauscht das Petri-Netz mit einem 
bzw. mehreren weiteren Petri-Netzen iiber Kanale Symbole oder Symbolketten 
aus. Hiermit lasst sich die Komplexitat'erhohen und damit die Analysierbarkeit 
erschweren. 

Das Schalten von TYansitionen kann gemass einer weiteren Ausgestaltung der 
Erfindung mit Hilfe von Tabellen schnell ausgefuhrt werden. In Analogie zu 
beispielsweise in [2] beschriebenen sequentiellen Maschinen kann aufgrund einer. 
Markierung bzw.. eines Zustands und einer Eingabe eine Folgemarkierung bzw. 
ein Folgezustand und eine Ausgabe aus einer Tabelle schnell ermittelt werden. 
Die Eingaben bzw. Ausgaben konnen auch optional erfolgen. . 

.Eine Geschwindigkeitssteigerung beim Schalten der Transitionen lasst sich durch 
ein Verfahren erzielen, bei der ein Prozessor das Schalten einer Transition mit 
einer Instruktion ausfiihrt, wobei eine Instruktion . die Tabellen als Operand 
einliest. Der Instruktionssatz eines Prozessors kann mehrere solche Instruktionen 
enthalten. 

Die Ausgaben eines Petri-Netzes konnen in ein weiteres Petri-Netz eingegeben 
und weiter verarbeitet werden. Ein aus mehreren Petri-Netzen bestehende Sy- 
stem ist eine Kooperation. In einer weiteren Ausgestaltung der Erfindung bildet 
eine Kooperation von Petri-Netzen eine Turing-Maschine. Die Felder, Bander 
und die endliche Kontrolle der Turing-Maschine werden als Petri-Netze kodiert, 
die iiber Kanale Symbole oder Symbolketten austauschen und sich synchroni- 
sieren konnen. 

Vorteilhaft for den Schutz von Software ist die tJbersetzung dieser Software 
in ein Petri-Netz oder eine Kooperation von Petri-Netzen bzw. in eine Turing- 
Maschine. Dieser t)bersetzungsvbrgang konnte durch einen speziellen Compiler 
maschinell ausgefuhrt werden. 

Die Ausfiihrung einer Kooperation von Petri-Netzen kann in einer Ausgestaltung 
des Verfahrens durch die Ausfuhrung einer Komp ositi onsvor schrift erfolgen. Da- 
bei wird ein Petri-Netz erzeugt, das das gleiche aussere.Ein-/Ausgabeverhalten 
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zeigt, wie die Kooperation der Petri-Netze, mit der Einschrankung, dass Aus- 
gaben verzogert erfolgen konnen. Hierdurch wird die gewiinschte Panktionalitat 
des erzeugten Petri-Netzes nicht unbedingt beeintrachtigt. 

Eine alternative Losung der der Erfindung zugrunde liegenden Aufgabe sieht 
gem ass Anspruch 9 vor, dass datenverarbeitende, kooperierende Netze kompo- 
niert werden, das Kompositionsergebnis kodiert, in einen Speicher geschrieben 
und aus dem Speicher von wenigstens einer Instanz gelesen und ausgefuhrt wird, 
wobei das Kompositionsergebnis ein zu seinen Komponenten bezuglich des aus- 
seren Ein-/Ausgabeverhaltens, ausgenommen Ausgabe-Verzogerungen, aqiiiva- 
lentes Netz ist. Hiervon ausgenommen wird ein Public Key Verschliisselungs- 
verfahren von [1] und [3], bei dem die Kompositionsergebnis einer Komposition 
endlicher Automaten einen Public Key bilden. Bei der vorliegenden Erfindung 
geht es um die allgemeine Verarbeitung yon Daten unter Berucksichtigung der 
der Erfindung zugrunde liegenden Aufgabe. Die Aufgabe wird gelost, weil eine 
Semantik- Analyse eines Kompositionsergebnisses ohne Kenntnis der Kornpo- 
nenten schwierig ist. Eine Dekomposition ist hvvielen Fallen ein hartes resp. 
np-hartes Problem. 

Das Kennzeichen des Anpruchs 9 schrankt nicht ein, welche Art von datenverar- 
beitenden, kooperierenden Netzen komponiert werden. Es ist bekannt, dass viele 
Netze einer Art sich durch Netze einer anderen Art simulieren lassen bzw. zuein- 
ander Equivalent sind. Beispielweise wurde in [7] und in [9] gezeigt, dass rekursi- 
ve McCulloch-Pitts-Netze, eine spezielle Form kiinstlicher neuronaler Netze, zu 
endlichen Automaten aquivalent sind. Endliche Automaten lassen sich wieder- 
um durch B/E-Netze beschreiben. B/E-Netze sind spezielle Petri-Netze. Eine 
Beschreibung der Komposition hangt naturgemass von der formal en Definition 
der Netze ab, und es lassen sich unabhangig von dieser Definition inhaltlich viele 
verschiedene Varianten der Komposition definieren. Anspruch 9'beinhaltet auch 
Varianten von Kompositionen, die -dem gleichen Erfindungsgedanken zugrunde 
liegen. 

Die Komponenten und das Kompositionsergebnis konnen Petri-Netze seih, die 
Symbole oder Symbolketten uber wahlweise vorhandene Kanale senden und 
empfangen. In einer Ausgestaltung der Erfindung bildet jede Komponente eine 
sequentielle Maschine mit wahlweise mehreren Eingabekanalen und wahlweise 
mehreren Ausgabekanalen. Seien C eine aufzahlbare Menge von Kanalen, A 
eine endliche Menge von endlichen Alphabeten, 7 : C A, ft =(C, A, 7) eine 
Kommunikationsregel , 
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Bq = {e\e = {{c,a)\a € 7(c) A ((c,ai) € e A (c, a 2 ) € e ai = <r 2 )}} U {0} 
eine Menge von Ein-/Ausgabe-Ereignissen und S eine endliche Menge von Zu- 



Mq := { (S,jBfc,*,j9,ao)l (5:iZ-4SA0:i2->.EhAilcSxjSn " 

.A (V-|(«,a) > y]€^V(c» 1 a,)€a:V(c lfl i7 y )€y: # Cy) A s Q € 5 }. 

In die Kbmpositionsfunktion geht als Parameter eine Menge von Synchronisa- 
tionskanalen ein. Die Transitionen der zu komponierenden Maschinen schalten 
abhangig von einenr imaginaxen globalen Takt und es gibt keine Nebenlaufig- 
keit. Ein "Rendezvous" zwischen Sender und Empfanger yon Symboletn soD mog- 
lich sein, was voraussetzt, dass die Komponenten aufeinander wart en kdnnen. 
Realisiert wird dies durch das SchaJten einer "leeren Transition" der wartenden 
Maschine. Die leere Transition liest nichts und schreibt nichts. Solche TYansi- 
tionen gibt es bei nichtdeterministischen Automaten mit A-Bewegungen [5]. Die 
A-Bewegungen werden hier e-Bewegungen genannt. Bei den zu komponierenden 
.nichtdeterministischen sequentiellen Maschinen als'B/E-Netze gibt es mehxe- 
re mogliche Schaltfolgen pder serielle Prozesse [6]. Jede mogliche Schaltfolge 
entspricht einer komponierten sequentiellen Maschine. Die Kompositionsfunkti- 
on ist eine Abbildung in einer Potenzmenge von sequentiellen Maschinen. Sei 
ft =((7^,7) eine Kommunikationsregel und B mit B C C eine Menge von 
internen Synchronisationskanalen. Die Komposition camps ' MR —t 2 Mn wird 
definiert als 



standen. Ein System von sequentiellen Maschinen wird definiert als 




{Kit »-\K n ) = {(Su JSfl> *li^l» 5 bi) > •••> (SniBn^SniPni so„)) 

A3T={ ((*i 1 -.. 1 as») > (yi l ...,y n )iWi...iOi*iiO I 



d(so 3 ,a:i),si]>->[( 5 o n ,Xn),Sn]) 6 5 l x ... x 5 n ' 

A(I(ao,.*i);yili-il(*o«.*»)iyii3) £fo * •'•'« *fin 

A 3H X = IJ *i3H v = U = 



i6{l,...,n} i6{l,...,n} 

B x € Bq A H y € Eq 

AV(c,a): (c € B (c, a) € H x H H y ) 



/\x = H x \H y f\y = H y \H x } 

3Stq = { «^3((«ip M| «n).(iii,.nyJ,(^ M .,«!i).*.S)€r: 
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£' = compB([(Si,JWi,ft^^ } : 

A5=(5 0l ,...,5 0n )U U S' 

AJ={ [((«o,,.-.,ao.).2),(*i,-i*n)]| 

' ((ai, - . an) i (ifi? » W» •«., «!,) 5) €T } 
U U & 

a£= { [((«oi,— »«o.).S)»S1l 

((rca , a n ) , (yi, y„) , s'J , £, y) € T } 

U JJ 

A So = (fio,,— »?0„) ]• 

Bei der Komposition nach dieser Definition gibt es zwei Arten von Kanalen: 
Die Menge .der Kanale A, in der jeder Kanal nur von einer Maschine genutzt 
werden und eine Menge von Synchronisations-Kanalen B> in der jeder Kanal 
von wenigstens zwei Maschineii genutzt wird. Die Menge der Synchronisations- 
kanale B ist bei der Komposition- in interne und externe Synchronisatioriskana- 
le zu unterteilen. B C B ist die Menge- der Synchronisationskanale, die nicht 
mehr in der komponierten Maschine genutzt werden. In vielen Anwendungen. 
ist B = B. Ein wesentlicher Unterschied zwischen internen und externen Syn- 
chronisations kanalen ist, dass eine Transition mit einem internen Synchronisa- 
tionskanal nur schalten kann, wenn mit einer synchronisierten Transition uber 
diesen Kanal ein Symbol ausgetauscht wird. Bei einem externen Synchronisa- 
tionskanal ist die Bedingung nicht so* scharf: Die Ein- oder Ausgabe auf dem 
Kanal darf nicht inkompatibel mit einer synchronisierten TVansition sein. Die - 
synchronisierte Transition muss demnach auch nicht mit dem Kanal arbeiten. 
tJber einen externen Synchronisations kanal konnen mit der Aussenwelt Symbole 
ausgetauscht werden. Sollen Transitionen mit einem externen Synchronisations- 
kanal intern synchronisiert werden, mtissen zusatzliche interne Synchronisati- " 
onskanale eingerichtet werden. Ein moglicher rekursiver Kompositionsalgorith- 
mus arbeitet folgendermassen: Eine Kompositionsroutine wird mit den Startzu- 
standen der zu komponierenden Maschinen aufgerufen. In dieser Routine wird 
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die geordnete Menge der Startzustande als komponiertef Zustand in eine Liste 
von komponierten Zustanden eingetragen. Dann wird eine Menge von kompa- 
tiblen Transitionen Qe Komponente/eine Transition) gesucht, die jeweils den 
Startzustand als Bingabestelle haben. Transitionen sind kompatibel, wenn al- 
le diesen IVansitionen zugeordneten Ereignismengen paarweise kompatibel sind 
und jedes Symbol, das von einer Maschine auf einem internen Synchronisations- 
kafial geschrieben bzw. gelesen wird von einer anderen Maschine gelesen bzw. 
geschrieben wird. Zwei Ereignismengen sind kompatibel, wenn alle Ereignisse 
paarweise kompatibel sind oder wenigstens eine Menge leer ist. Die leere Er- 
eignismenge ist zu jeder anderen Ereignismenge kompatibel. Zwei Ereignisse- 
eines internen bzw. externen Synchronisationskanals sind kompatibel, wenn sie 
entweder verschiedene Kanale betreffen oder das gleiche Symbol von der einen 
Maschine gelesen und von der anderen" Maschine geschrieben bzw. von beiden 
Maschinen gelesen oder geschrieben wird. Es ist z.B. ausgeschlossen, dass zwei 
Maschinen verschiedene Symbole auf einem Kanal gleichzeitig schreiben. Fur 
jede gefnhdene Menge von kompatiblen Transitionen wird die geordnete Men- 
ge der Ausgangsstellen der Transitionen als komponierter Zustand in die Liste 
der komponierten Zustande eingetragen und als Startzustande in einen rekursi- 
ven Aufruf der Kompositionroutine eingegeben, wenii der komponierte Zustand 
noch nicht in der Liste enthalten war. Falls der komponierte Zustand bereits in 
der Liste war, wird die Kompositionsroutine beendet. Der Algorithmus endet, 
wenn keine neuen komponierbaren Zustande mehr gefunden werden. 

Die Information iiber die Nebenlaufigkeit geht bei der Komposition comp ver- 
loren. Dm Nebenlaufigkeit zu berucksichtigen, muss die Kompositionsregel mo- 
difiziert werden. Bei der Komposition werden dann nur Transitionen mit Syn- 
chronisationskanalen zu einer Transition zusammengefasst. 

Kompositionsergebnisse haben oft aquivalente Zustande. Wenn die Produkte 
Kompositionsergebnisse in weiteren Kompositionen weiterverarbeitet warden, 
sind solche Redundanzen unerwunscht. Daher ist man bestrebt* aquivalente 
Maschinen mit einer minimalen Anzahl von Zustanden zu finden. Die Abbil- 
dung der Minimierung wird im folgenden durch eine Punktion min : Mo Mn 
bezeichnet. 

Nach einer Komposition entstehen oft unerwunschte Transitionen mit leeren 
Ereignismengen. Diese Transitionen konnen durch eine stellenberandete Vergrd- 
berung (Erklaxung des Begriffs in [6]) ersetzt werden, wobei die Rander die 
Eingangs- und Ausgangsstelle der Transition sind. Dies wird so oft wiederholt, 
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bis es.keine leeren TVansitionen in der Maschine mehx gibt. Diese Abbildung 
wird im folgenden durch eine Funktion red : Mq -> Mq bezeichnet. 
Der Kontrollfluss und die Struktur einer Turing-Maschine kann verschleiert wer- 
den, indem einige Bestandteile der Turing-Mas chine komponiert werden. Bei- 
spielsweise konnte man Gruppen von beliebigen Feldern verschiedener Bander 
komponieren. Felder von Bandern konnen auch mit dem Programm oder Lese- 
kopfen komponiert werden. Weitere Kombinationen auch mit weiteren Kompo- 
nenten, die nicht Bestandteil der Turing-Maschine sind, sind denkbar. 

In einer weiteren Ausgestaltung des Verfahrens werden zu komponierende, da- 
tenverarbeitende Netze durch eine tJbersetzung von Algorithmen gebildet. Hier- 
durch wird eine Dekomposition und Analyse von Algorithmen erschwert oder 
verhindert. 

In einer weiteren Ausgestaltung des Verfahrens ist wenigsten ein der zu kom- 
ponierende, datenverarbeitende Netze eine kryptologische Komponente. Wenn 
diese Komponente zufallig erzeugt und geheim gehalteri wird, ist eine Dekompo- 
sition des Kompositionsergebnis wesentlich erschwert oder unmoglich, insbeson- 
dere, wenn mehrere Komponenten kryptologische Komppnenten mit verschiede- 
nen Aufgaben sind. Dieses Verfahxen ist geeignet, urn Folgen von Operationen 
zu verschlusseln. Bine Operation liest die Operanden und schreibt ein Ergeb- 
nis. Ein Angreifer, der Kenntnis iiber die Operation erlangen mochte; hat die 
Moglichkeit, das Netz, das die Operation reprasentiert, mit ihm bekannten NeV 
ze zu vergleichen oder er versucht, mit.Hilfe vori Ein- und Ausgabe-Beispielen 
ein Modell der Operation zu bilden, so dass die Operation und das Modell ein 
aquivalentes Ein-/Ausgabe-Verhalten zeigen. Beides wird verhindert, wenn die 
Werte verschlusselt sind und verschliisselt verarbeitet werden. Dies ist moglich, 
indem die Netze zur Entschlusselung der Operanden mit dem Netz der Operati- 
on und einem Netz zur Verschliisselung des Ergebnisses komponiert werden. Es 
miissen Werte mit der Aufienwelt unverschlusselt ausgetauscht werden konnen. 
Eingaben werden dann nicht entschliisselt/Analog werden Ausgaben nicht ver- 
• schlusselt. Werden Petri-Netze benutzt und wird fur die Ent- und Verschliisse- 
lung ein Stromverschlusselungsverfahren benutzt, das die Eingabe-Symbolketten 
nur in einer Richtung verarbeitet und mit jeder Transition ein Symbol einliest 
und ein Symbol schreibt, benotigt die Verschliisselung keine zusatzliche Zeit, 
weil 'jede Transition des Kompositionsergebnisses eine Zusammenfassung von 
Transitionen der Komponenten ist. Die obere Schranke fur die Anzahl der Zu- 
stande des Kompositionsergebnisses ist das Produkt aus der Anzahl der Zustan- 
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de jeder Komponente. Jede Ausgabe einer verschlusselten Operation sollte eine ' 
individuelle Verschliisselung besitzen, damit ein Angreifer nicht durch Probie- 
ren verschiedener Konkatenationen von Operationen auf die Funktionalitat der 
Operationen schliefcen kann. 

In weiteren Ausgestaltung des Verfahrens konnen Komponenten Daten dekom- 
primieren und/oder Wasserzeichen in die Daten einfiigen. Ein Wasserzeichen 
ist ein Identifizierungsmerkmal oder ein Zertifikat, das Daten hinzugefugt wird, 
ohne dass die Nutzung dieser Daten behindert wird. Dieses Verfahren ist bei der 
Distribution von Daten, wie beispielsweise Audio- und/odef Videodateri, an vie- 
le Endverbraucber geeignet. Die Wasserzeichen konnen beim Endverbraucber bei 
der Entschliisselung der Daten in die Daten eingefiigt werden. Vorzugsweise ist 
die Entschlusselung und das Wasserzeichen endverbraucher-individuell. Dabei 
muss die zuvor gemachte Verschliisselung nicht zwangslaufig endverbraucher- 
individuell seui. Die Entschliisselung kann an eine durch eine spezielle Hardwa- 
re geschiitzte kryptologische Funktion, deren Ponktionswerte endverbraucher- 
individuell sind, gekoppelt werden. 

In einer weiteren Ausgestaltung des Verfahrens konnen Register in einer Regi- # 
sterbank zusammengefasst werden und dadurch miteinander verschrankt wer- 
den. Mit Verschrankung ist gemeint, dass ein Angreifer nicht einen Registerwert 
andern kann, ohne den Wert einesanderen Registers der Bank zu andern. Es 
lasst sich die Integritat 'der RegisterinhaJte fiir einen Zeitraum sicherstellen, in 
dem wenigstens ein fiir den korrekten Ablauf des Programms wesentlicher Wert 
in einem Register der Bank gespeichert ist. Ein wichtiger Baustein einer Schrei- 
boperation.ist eine Maschine, die im folgenden Kombinierer genannt wird. Ein 
Kombinierer bildet mehrere Datenstrome verschiedener Kanale, die jeweils ei- 
nem Register der Registerbank zugeordnet sind, auf einen Datenstrom eines 
Kanals umkehrbax ab. Das Produkt der Betrage der Symbolmengender einge- 
henden Datenstrome ist eine obere Schranke fiir den Betrag der Symbolmenge 
der Ausgabe des Kombinierers. Es ist moglich, dass nicht adle Kombinationen 
von Symbolen auf den Eingabekanalen vorkommen. Der von einem Kombinie- 
rer erzeugte Datenstrom wird verschliisselt. Dies ist giinstiger, als die in den 
Kombinierer eingehenden Datenstrome zu verschliisseln, weil die Symbolmenge 
der Ausgabe des Kombinierers grosser als die Symbolmengen der Komponenten 
ist. Eine Stromverschliisselung mit einer grosseren Symbolmenge ist effizienter 
als mit einer kleineren Symbolmenge. Zum Extrahieren der Daten eines Regi- 
sters aus dem Datenstrom eines Kombinierers, wird der Datenstrom zunachst 
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entschlusselt. Dann konnen nach Anwendung des Separators die Daten einzel- 
ner Register gelesen werden. Neben der Verschrankung von Registern- hat das 
Speichern von Daten in einer Registerbank den Vorteil, dass Datenfliisse ver- 
borgen werden konnen. Es konnen nacheinander viele Operationen auf einer 
Registerbank arbeiten, ohne dass Zwischenresultate die Registerbank verlassen. 
Zur Verschleierung des Zustands einer Registerbank kann eine Pseudozufallszahl 
in ein Register geschrieben werden, die bei jedem lesenden und schreibenden Zu- 
grifT auf die Registerbank geandert wird. Der Pseudozufallszahl en- Generator ist 
dann eine Komponente der Registerbank. In dies en Generator konnen sich ver- 
andernde Daten aus Registern, die nicht in der Registerbank liegen, eingegeben 
werden. 

In einer weiteren Ausgestaltung des Verfahrens empfangt eine kryptologische 
Komponente von einer geschiitzt ausgefuhrten Funktion Daten und verarbei- 
tet diese, wobei das Kompositionsergebnis nicht oder fehlerhaft axbeitet, wenn 
von der kryptologischen Funktion keine oder fehlerhafte Daten empfangen wer- 
den. Hierdurch wird eine schwer oder nicht trennbare Kopplung des Komposi- 
tionsergebnisses mit der kryptologischen Funktion erreicht, was beispielsweise 
dafiir geeignet ist, eine unauthorisierte Benutzung von Software zu verhindern, 
wenn das Kompositionsergebnis von der Software benotigt .wird und das Aus- 
fiihren der kryptologischen Funktion nicht frei reproduzierbar ist.- Ein weite- 
res Verfahren sieht vor, dass ein .wei teres in der Funktionalitat eingeschranktes 
.Kompositionergebnis die kryptologische Komponente nicht enthalt und keine 
Daten von der kryptologischen Funktion empfangen braucht, um die fehlerfreie 
Funktionsweise zu gewahrleisten. Dieses Verfahren eignet sich fur die Distri- 
bution von Demonstrations- Versionen von Software, die frei kopiert und ver- 
teilt werden konnen. Das Kompositionergebnis muss in der Funktionalitat ein- 
geschrankt sein, damit ein Angreifer in der Vollversion der Software nicht das 
mit der kryptologischen Funktion gekoppelte Kompositionsergebnis durch das 
in der Demonstrations- Version benutzte Kompositionsergebnis ersetzt und so 
eine Vollversion ohne Einschrankungen herstellt. 

Mit Hilfe eines alternativen Verfahrens ward erreicht, dass die Ausfuhrung ei-. 
nes datenverarbeitendes Netz bzw. eines Programms an die ausfuhrende Vqr- 
richtung gekoppelt wird. Eine geschiitzt ausgefuhrte kryptologische Funktion, 
beispielsweise eine Funktion des TPM-Chips der Trusted Computing Platform 
Alliance (TCPA) [13], die mit der Vorrichtung, beispielsweise einem PC oder 
einem PDA, fest verbunden ist, tauscht Daten mit dem Netz bzw. dem Pro- 
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gramm aus. Das datenverarbeitende Netz bzw. das Programm arbeitet nicht 
oder fehlerhaft, wenn von der kryptologischen Funktion keine oder fehlerhaf- 
te Daten empfangen werden. In einer- Ausgestaltung des Verfahrens wird ein 
Wert iiber die Berechnung eines Funktionswertes der kryptologischen Panktion 
hinaus fur einen Angreifer nicht lesbar oder veranderbar gespeichert wird und 
bei einer weiteren Berechnung eines weiteren Funktionswertes beeinflusst dieser 
Wert das Ergebnis der weiteren Berechnung, wobei dieser Wert sich nach einer 
vorgegebenen Rege) verandert. Hierdurch wird verhindert, dass mehrere Netz- 
bzw. Programm-Instanzen unkontrollierbar Funktionswerte der kryptologischen 
Funktion benutzen konnen. 
BEISPIELB 

In Fig. 1 hat eine ausfiihrende Instanz ZugrifT auf einen Speicher, der ein Petri- 
Netz und die Bander x und y speichert. Die Anfangsmarkierung hat eine Marke 
auf einer Stelle, dem Startzustand s 0 . Mit jedem Schalten einer Transition wird 
die Marke von der Eingangsstelle zur Ausgangsstelle bewegt, mit .Hilfe eines 
Kopfes ein Symbol des Eingabealphabets vom Band x gelesen und mit Hilfe eines 
weiteren Kopfes ein Symbol des Ausgabealphabets auf Band y geschrieben. Nach 
jedem Lese- und Schreibvorgang bewegen sich die Kopfe ein Feld nach rechts. 
Das Netz fuhrt eine binare Multiplikation [y = 2x) aus. 

In alien folgenden Figuren wird auf die Darstellung der ausfuhrenden Instanz, 
des Speichers, der Kopfe und der Binder verzichtet. Anstatt des BegrinV'Petri- 
Netz" wird der BegrifT'Netz" benutzt. 

Fig. 2 zeigt eine binare Addition. Eine Marke liegt auf dem Startzustand s 0 . 
Die Transitionen tragen die Beschriftung der Form ab/c. Die Ein- und Ausgabe- 
kanale werden in der Eingangsstelle jeder Transition in gleicher Form genannt. * 
o und b sind die Kanale fur Operanden, c ist der Kanal fur das Ergebnis. Transi- 
tionen, die die gleiche Eingangsstelle und die gleiche Ausgangsstelle haben, aber 
unterschiedliche Ein- oder Ausgaben, werden in dieser und vielen weiteren Dar- 
stellungen durch ein Rechteck dargestellt. Jede Zeile eines Rechtecks entspricht 
einer Transition. 

Es gibt Falle, in denen mehrere Ergebnisse einer Verarbeitung parallel berechnet 
und ausgegeben werden sollen.. Fig. 3 zeigt ein Netz, das neben mehreren Ein- 
gabekanalen auch mehrere Ausgabekanale besitzt und zwei binare dargestellte, 
natiirliche Zahlen addiert: [c = a + b, d = a — b). 

Weitere Beispiele von Netzen sind in Fig. 4 und 5 dargestellt. Das Netz in Fig. 
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4 berechnet [t = 3 • a, d = a - b,\s = a + b), das Netz in Fig. 5 [s = a + b + c). 

Fig. 6 zeigt die Komposition von zwei Netzen M und AT. Die Ein- und Ausgabe- 
Ereignisse werden iri den Transitionen durch Mengen wie in Anspruch 11 be- 
schxieben. M schreibt mit TVansition i 4 iiber den Kanal b das Symbol a, das M' 
uber den gleichen Kanal mit Transition t' 3 liest. b ist ein interner Synchronisati- 
onskanal. t 4 und t' 3 sind die einzigen Transitionen, die auf Kanal b arbeitqn und 
konnen daher nur synchron schalten. Es gibt die Kompositionsergebnisse ifi, 
K 2 und K 3 . Von den Stellen s 0 und si fuhren keine kompatiblen TVansitionen 
weiter. Die beschriebene Kompositionsroutine endet daher nach demEintragen 
des Zustandes (scsiJ.in die Liste der komponierten Zustande. 

Fig. 7 zeigt die Komposition der gleichen Netze, bei der nur Transitionen mit 
Synchronisationskanalen zu einer Transition zusammengefasst werden, urn die 
Information iiber die Nebenlaufigkeit zu erhalten. 

Will man in einer Maschine M einen Ausgabekanal a durch einen Kanal b bzw. 
einen Eingabekanal b durch einen Kanal a ersetzten, kpmponiert man M mit der 
in Fig. 8 dargestellten Maschine, wobei a bzw. b ein interner Synchronisations- 
kanal ist. \a u ....,a m } ist die den Kanalen a und b zugeordnete Symbolmenge. 

Fig. 9 zeigt, dass auch das Konkatenieren von Netzen durch eine Komposition 
ausgefuhrt werden kann. Transitionen mit leeren Ereignismengen ("leere TVansi- 
tionen"), deren Eingangsstelle gleich der Ausgangsstelle ist, werden im folgenden 
Wartetransitionen genannt und in Fig. 9 durch leere Rechtecke dargestellt. M 
schreibt auf Kanal a eine 1 und dann auf Kanal b eine 2. M' schreibt auf Kanal 
c eine 3 und dann auf Kanal d eine 4, M bzw. M' haben aufierdem men Kanal 
k zum Konkatenieren und Wartetransitionen t 3 bzw. tj\ In Transition t 2 von 
M wird auf Kanal k das Symbol k geschrieben. Transition t 2 von M' Best auf 
Kanal k das Symbol k. Komponiert man M und M' mit k als internen Syn- 
chronisationskanal, so erhalt man die Maschine K y die nacheinander auf Kanal 
a, b, c bzw. d eine 1, 2, 3 bzw. 4 schreibt. Wenn Maschinen konkatenierbar sein 
sollen, miissen die Umgebungen der Anfangs- und Endzustande entsprechend 
prapariert' werden. Verschiedenen Transitionen konnen Kanale zum Konkate- 
nieren zugeordnet werden. Durch geeignete Substitutionen von Kanalen lassen 
sich die Konkatenationen beeinflussen. 

In Fig. 10 wird die natiirliche' Zahl 2 durch eine Maschine reprasentiert, die 
die binare Symbolkette 010 auf Kanal a ausgibt. Dies .entspricht der Gleichung 
o = 2. Eine Maschine zur Addition c = a + b liest auf Kanal a und b und schreibt 
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auf Kana) c. Beide Maschinen werden iiber den internen Synchronisationskanal 
a komponiert. Fig. 11 stellt das Ergebnis dar. 

[c =■ b + 2 mod 8] = comp {a ) ([c = a + b] , [a = 2]) 

Weil der Kompositionsalgorithrnus im Endsustand von a = 2 keine Transition 
mehr findet, bricht er ab. Das Kompositionsergebnis kann nur Symbolketten der 
Lange 3 ausgeben, ausgedriickt durch mod 8.. Komponiert man c = b + 2 mod 8 
iiber den internen Synchronisationskanal b mit der Maschine b = 3 aus Fig. 12 
so erhalt man die Maschine c = 5, ebenfalls in Fig. 12 dargestellt. 

[c = 5] = comp w ([c = 6 + 2 mod 8] > [b = 3)) 

Fig. 13 stellt den gesamten Vorgang dar. Das Ergebnis der Kompositionen c = 
5 erhalt man ohne'das Zwischenergebnis c =' b + 2 mod- 8, indem man alle 
Komponenten in einem Schritt komponiert. . 

[c = 5) = comp {0|b) ([c = a + b] , [a = 2) , [b = 3]) 

Die Maschine c = a + b kann unendlich lange Symbolketten veraxbeiten. Das 
Kompositionsergebnis nach Komposition mit einem Operanden kann dies auch, 
wenn der Operand durch eine zyklische Transition, die Nullen ausgibt, abge- 
schlossen wird. In Fig. 14 wird a = 2 binax mit fuhrenden Nullen dargestellt. 
Das Kompositionsergebnis nach Komposition. mit c = a+b kann unendlich lange 
Symbolketten verarbeiten, ebenfalls in Fig. 14 dargestellt. 

[c = b+°° 010] = comp { a) ([c = a-f b] , [a =°° 010]) 

In einem weiteren Beispiel soli die Gleichung a = 2a+ c vereinfacht werden. Da- 
mit sie verarbeitet werden kann, wird sie als Netz kodiert. Dazu wird zunachst 
die Gleichung d = 2a -h c gebildet und anschliessend d durch a substituiert. Fig. 
15 stellt den ersten Schritt dar. Wird d nun durch a substituiert, so sind alle 
Transitionen ungultig, in denen vor der Substitution die den Kanalen a und 
d zugeordneten Symbole ungleich waxen. Die ungultigen Transitionen und eine 
nicht mehr erreichbare Stelle s 3 sind in Fig. 15 grau unterlegf. Nach der Sub- 
stitution ist der Kanal a zu entfernen, weil in einer Transition nicht gleichzeitig 
. auf einem Kanal gelesen und geschrieben werden kann. Damit nach dem Ent- 
fernen die Information des Kanals a nicht verloren ist, wurde die Kopie a' = a 
angelegt. Fig. 16 stellt auf der Eingangsstelle der Transition min das Ergebnis 
dieser Schritte dar. Man kann zeigen, dass Si und s 2 aquivalent sind. Nach der 
Minimierung durch min ist das Ergebnis die Gleichung a = -c. Dies kann, wie 
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in Fig. 17 dargestellt, verifiziert werden. Wird bei einer binar arbeitenden se- 
quentiellen Maschine a = e-f / der Ubertragszustand alsStartzustand definiert, 
erhalt man die Maschine resp. das Netz a = e + / + 1. Dann wird e durch das 
Eins-Komplement von c ersetzt , so dass a = — c-f /. Nach / = 0 ist a = —a 

Tm, folgenden werden Matrizen- naturlicher Zahlen als Netz kodiert und durch 
Komposition addiert. Das Netz aus Pig. 18 entspricht einer Funktion von {1, 2} 2 
auf {0, 1, 2, 3}, die die Zeile i und die Spalte j der Matrix 

»(::) 

-liefert, wobei die Funktionswerte {0,1,2,3} binar als {^O, 00 Ol^OlO^Oll} 
kodiert sind. .Das Netz liest zunachst den Zeilen- und Spaltenindex und gibt 
dann das entsprechende Matrix-Element aus. Die Bezeichnung der Kanale zum 
Einlesen der Indizes spielt bei der Komposition mit anderen Netzen eine Rolle. 
Deshalb werden im folgenden in Abweichung zu iiblichen Matrix- Schreibweisen 
die- Indizes dem Matrix-Bezeichner hinzugefugt: Aij. Die Komposition ergibt 




was in Fig. 19 dargestellt ist. Wartetransitionen werden durch die Zeichenfolge 
'//' in der Eingangsstelle (Ausgangsstelle) symbolisiert. Der Startzustand von 
c = a + b hat eine Waxtetransition. Die Kanale i und j werden zu externen 
Synchronisationskanalen. Sie bleiben im Kompositionsergebnis erhalten, wah- 
rend die internen Synchronistionskanale a und b nicht erhalten bleiben. c ist 
kein Synfchronisationskanal. . . 

Fig. 20 zeigt die Kanalstruktur einer Turing-Maschine, die durch eine Koope- 
ration von Netzen gebildet wird. Die Transitionen entsprechen den beteiligten 
Kooperationspaxtnern, die Stellen entsprechen den Kanalen. Eine endliche Kon- 
trolle, als Netz realisiert, liest iiber Kanal x bzw. schreibt iiber Kanal y Symbole 
• auf ein Band. Die endliche Kontrolle gibt bei jedem Lese- und Schreibvorgang 
iiber den Kanal J Bewegungs-Anweisungen an den Kopf. Ein Kopf H mit Fel- 
dern Fi kommuniziert uber die Kanale Z{.. Fig. 21 zeigt ein Band mit Feldern 
zum'Speichern der Symbole 0, 1 und r. Alle Felder speichern am Anfang das 
Symbol r. In Fig. 22 ist eine Initiaiisierung Jratoi des Bandes mit der Sym- 
bolkette rOlr dargestellt. Ein Punkt anstelle eines Symbols in einer Transition 
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bedeutet, dass jedes erlaubte 1 Symbol hier eingesetzt werden daxf. Das Transi- 
tionsrechteck mit der Beschriftung " ./Rt" und der Eingangsstelle mit der Be- 
schriftung "z/Iy" ist.die Kurzschreibweise fiir drei Transitionen mit gleicher Ein- 
und Ausgangsstelle mit den folgenden Eingabe-/Ausgabe-Ereignismengen: 1. 
Transition: {(*, 0)} / {(J, R) , (y, r)}, 2. Transition: {(*, 1)} / {(I, R) , (y,.r)}, 3. 
Transition: {(a;, r)} / {(/,#) , (y,r)}. Komponiert man die InitiaJisierung Im£ 0 i 
mit dem Kopf H und vier Bandfeldern Ji, ...,^4, wobei die internen Synchronic 
sationskanale x , y, J, Z1...Z4 sind, so gibt es im ersten Kompositionsschritt von 
den Startzustanden aller Komponenten ausgehend nur eine Menge kompatibler 
Transitionen, wie in Tab. 1 dafgestellt: 



Komponente 


Kanale 


Symbole 


InitiaJisierung P 


x/Iy 


r/Rr . 


Kopf H 




tR/t 


RddFa 




r/r 


Felder F 2i F 3i ^4 


(Wartetransitionen) 





Tab. 1 Kompatible Transitionen 
Die Komponenten bilden einen geschlossenen.Kreislauf von Symbol-Produzeiiten 
und -Konsumenten. Nach der Komposition ist .der Kopf auf Feld jP 3> das eine 
Eins speichert, positioniert. Eine endliche Kontrolle Pi zur Erkennung der Spra- 
che L = {(Tl^ln > 1} ist in Fig. 23 dargestellt. Es wird vorausgesetzt, dass das 
zu erkennende Wort mit einem vorgehenden und nachfqlgenden r linksbundig 
auf dem Band stent und der Kopf auf ein Feld links neben dem rechten r positio- 
niert ist. Angenommen, das Wort gehort zur Sprache L, dann gibt es folgenden 
Ablauf (ahnlich wie in [5]): Die am weitesten rechts stehende Eins wird durch 
r ersetzt. Dann bewegt sich der Kopf nach links bis zum nachsten t, dann ein 
Feld nach rechts. Die am weitesten links stehende Null ist hier gespeichert und 
wird durch r. ersetzt. Dann wird die am weitesten rechts stehende Eins, dann die 
am weitesten links stehende Null durch r ersetzt usw. Wenn eine Null durch r 
ersetzt wurde, und rechts daneben ein r gefunden wird, akzeptiert die Maschine 
das Wort. Das Akzeptieren wird der Au&enwelt durch das Schreiben einer Eins 
auf dem Kanal A mitgeteilt. Findet die Maschine auf der Suche nach einer Null 
bzw. einer Eins eine Eins bzw. Null oder ein t, wird das Wort nicht akzeptiert 
und eine Null auf Kanal A ausgegeben. Der Benutzer (in diesem Fall die endliche 
Kontrolle) des Bandes benotigt keine Kenntnis iiber die Struktur des Bandes. 
Das Band und die Felder konnten z.B. auch in einer Maschine komponiert sein. 
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Der Benutzer benotigt nur Kenntnis iiber die Schnittstelle des Bandes die Be- 
deutung der Bin- und Ausgabekanale. Ein Benutzer der endlichen Kontrolle zur 
Erkennung der Sprache muft wissen, wie das zu priifende Wort auf das Band zu 
schreiben ist. Dazu gehort das Wissen iiber die Bedeutung des Kanals I und die 
Konvention, ein vorausgehendes r auf das erste Feld des Bandes zu schreiben. 
Dieses Wissen laSt sich durch die Maschine in Fig. 24 kapseln. Komponiert man 
diese Kapselung mit dem Band, kann man Symbolketten in der Form, wie in 
Fig. 25 dargestellt, eingeben. Sei c € L. Konkateniert man E mit Pi (Endzu- 
stand von B ist der Startzustand von Pi ) und komponiert' dies mit 7\ wobei 
alle von wenigstens zwei Maschinen benutzten Kan ale Synchronisationskanale 
siiid, so erhalt man nacrr Anwendung von red eine Maschine, die in Fig. 26 
a) dargestellt ist. Ist c £ jD, so ist das Ergebnis die in Fig. 26 b) dargestellte 
Maschine. 

. c 6 L A |c| = n [A = 1) = red(comp{c iXi y iIiZy „. Zn + 3 } (c, JS, Pj , T)) . 

Fig. 27 a) zeigt die verschliisselte Ausfuhrung einer Operation. Die Operanden 
a, b bzw. c sind als a', V bzw. c'. verschliisselt. Die Entschlusselungen von a 
und b und die Verschliisselung von c werden mit der Operation komponiert. 
Fig.* 27 b) zeigt, wie unverschliisselte Operanden a und b mit einer Operation 
verarbeitet werden und das Ergebnis c als d verschliisselt wird. Die Operation 
und die Verschliisselung werden komponiert. 

Fig. 28 a) bzw. b) stellt einen Kombinierer von Kanalen bzw. dessen Umkehrung, 
einen Separator, dar, der in einer Registerbank benutzt wird. In Fig. 29 wird. 
ein moglicher Aufbau einer Registerbank dargestellt. Urn einen Registerwert 
zu verandern, werden mehrere Operationen komponiert. t)ber den Kanal x 1 
wird eine Registerbank B! mit drei Registern R u Rt. tind gelesen. Der alte 
•Registerwert von Register j? 3 wird auf Kanal z 3 ausgegeben. "Ober den Kanal 
i/3 wird ein neuer Wert in das Register J? 3 geschrieben. Fig. 29 b) zeigt eine 
Komposition, die den Inhalt von Register i? 3 "ausgibt, ohne die Registerbank au 
verandern. 

In Fig. 30 wird dargestellt, wie eine Hardware Daten der Applikation mit einer 
Stromverschliisselung verschliisselt. Der von der Hardware verschliisselte Wert 
wird von der Applikation entschliisselt. Die Entschliisselungsfunktion wird mit 
einer Operation der Applikation komponiert. Das Ergebnis nach Ausfiihrung der 
Operation ist verschliisselt. Die Entschliisselung mit Hilfe der Umkehrfunktion 
der Hardware und die Verschliisselung mit der Operation geschehen parallel. Der 
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entschliisselte Wert wird fur einen Angreifer zu keinem Zeitpunkt sichtbax. Es 
spielt keine Rblle, ob die Hardware verschliisselt und die Applikation entschlus-. 
selt, oder umgekehrt. Wesentlich ist, dass die Verknupfung der beiden Funktio- 
nen-die Identitat ist. Die par allele Entschliisselung und Verschliisselung ist mog- 
lich, weil nur Stromverschliisselungen benutzt werden. Es, konnen auch andere 
Kryptofunktionen benutzt werden. Viele bekaiinte Kryptofunktionen lassen sich 
nur mit Hilfe von Registern fur das Speichern von Zwischenergebnissen, wie z.B. 
Rundenergebnissen, realisieren. Diese Zwischenergebnisse mussen in geschiitzten 
Registerbanken gespeichert werden. Wenn eine Runde einer Blockverschliisse- 
lung eine Stromverschlusselung ist, kann die letzte Runde dieser Blockentschlus- 
selung mit der Operation und den Umschliisselungen der Operation komponiert 
werden. Anstelle einer Verschliisselungsfunktion kann auch'eine Hashfunktion in 
der Hardware ausgefuhrt werden. Fig. 31 zeigt ein moglich'es Schema. Ein Teil , 
der Eingabe in die Hashfunktion mufi geheim bleiben. Dieser Teil entspricht dem 
Schliissel bei einer Verschliisselungsfunktion. Der andere Teil der Eingabe sind 
Daten aus der Applikation. Der Ausgabewert der Hashfunktion kann mit dem- 
Ausgabewert einer Simulation der Hashfunktion z.B. durch sich kompensierende 
Operationen wie Addition und Subtraktion zu dem Ergebnis einer ausgefiihrten 
Operation addiert werden. Das Ergebnis einer solchen ausgefiihrten Operation 
ist nur dann korrekt, wenn die Hashfunktion und ihre Simulation den gleichen 
Wert liefern. Die Operation, die Hashfunktion resp. eine Runde der Hashfunk- 
tion, die Addition, Subtraktion und alle Umschliisselungen der Operation sind 
zu komponieren. Der geheime Teil der Eingabe in die Hashfunktion und gege- 
benenfaHs Zwischenergebnisse sind in geschiitzten Registerbanken zu speichern. 

Sequentielle, reversible Maschinen konnen zur Verschlusselung und Entschliisse- 
lung benutzt werden. Ein Beispiel fur eine sequentielle, reversible Maschine ist in 
Fig. 32 dargestellt. In jedem Zustand kann bei gegebener Ausgabe eindeutig die 
dazugehorige' Eingabe bestimmt werden. Solche Maschinen mit eiher deuthch 
hoheren Anzah] von Zustanden, als in Fig. 32 beispielhaft dargestellt, eignen 
sich zur Komposition mit anderen Netzen, beispielsweise wie in Fig. 27 a) und 
b) dargestellt. Denkbar sind auch Maschinen mit verzogerten Ausgaben, wie in 
' [3] beschrieben. Alle Maschinen konnen nicht-deterministisch erzeugt werden, 
z.B. mit Hilfe von Zufallszahlengeneratoren. 
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ANSPRtJCHE 

1. Verfahren zur Verarbeitung von Daten, dadurch gekennzeichnet, dass ein 
Petri-Netz kodiert, in einen Speicher geschrieben und ans dem Speicher von 
wenigstens einer Instanz gelesen und ausgefuhrt wird, wobei Transitionen des 
Petri-Netzes Symbole oder Symbolketten mit Hilfe wenigstens eines Kopfes von 
wenigstens einem Band lesen und/oder auf wenigstens einem Band schreiben. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Petri-Netz, 
der Kopf oder die Kopfe und das Band oder die Bander eine universelle Turing- 
Maschine bilden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass wenigstens 
ein zweites Petri-Netz, insbesondere mit den . Eigenschaften des in Anspruch 
1 beschriebenen Petri-Netzes kodiert, in einen Speicher geschrieben und aus 
dem Speicher von wenigstens einer Instaiiz gelesen und ausgefuhrt wird, wobei 
Transitionen jedes Petri-Netzes Symbole oder Symbolketten iiber wenigstens 
einen wahlweise vorhandenen Kanal senden konnen, die von Transitionen ande- 
rer Petri-Netze uber diesen Kanal oder diese KanaJe empfangen werden konnen. 

4. Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzeichnet, dass ein 
Petri-Netz auf eine Markierungs- bzw. Zustandsiibergangstabelle und wahlweise 
wenigstens eine Ausgabetabelle oder eine Kombination aus beiden zugreift und 
hiermit in Abhangigkeit von der Markierung bzw. von dem Zustahd und wahl- 
weise abhangig von einer wahlweise vorhandenen Eingabe eine Folgemarkierung 
bzw. einen Folgezustand und wahlweise wenigstens eine Ausgabe ermittelt. 

5. Verfahren zur Durchfiihrung des Verfahrens nach Anspruch 4, dadurch ge- 
kennzeichnet, dass das Schalten der Transitionen eines Petri-Netzes von ei- 
nem Prozessor ausgefuhrt wird, wobei der Prozessor wenigstens eine Prozes- 
sorinstruktion besitzt, die die Markierungs- bzw.- Zustandsiibergangstabelle und 
wahlweise wenigstens eine Ausgabetabelle oder eine. Kombination a.us beiden als 
Operanden verarbeitet. 

6. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass eine Kooperation 
von Petri-Netzen eine Turing-Maschine bildet. 

7. Verfahren nach einem der Anspriiche 3 und 6, dadurch- gekennzeichnet, dass 
wenigstens ein Teil eines Programms in ein Petri-Netz oder eine Kooperation 
von Petri-Netzen iibersetzt wird. 

8. Verfahren nach einem der Anspriiche 3 bis 7, dadurch gekennzeichnet, dass die 
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Petri-Netze durcb eine Kompositionsvorschrift ausgefuhrt werden, wob.ei ein zu 
den kooperierenden ersten und zweiten Petri-Netzen bezuglich des ausseren Bin- 
/Ausgabeverhaltens, ausgenommen Ausgabe-Verzogerungen, aquivalentes drit- 
tes Petri-Netz mit Hilfe des ersten und der zweiten Petri-Netze gebildet wird. 

9. Verfahren zur Verarbeitung von Daten, ausgenommen auf der Kompositi- 
on von endlichen Automaten basierende Public Key Verschliisselungsverfah- 
ren, insbesondere in Verbindung mit einem der Anspriiche 1 bis 8, dadurch ' 
gekermzeichnet, dass datenverarbeitende, kooperierende Netze komponiert wer- 
den, das Kompositibnsergebnis kodiert, in einen Speicher geschrieben und aus 
dem Speicher von wenigstens einer Instanz gelesen und ausgefuhrt wird, wobei 
das Kompositionsergebnis ein zu seinen Komponenten bezuglich des ausseren 
Ein-/Ausgabeverhaltens, ausgenommen Ausgabe-Verzogerungen, aquivalentes 
Netz ist.. 

10. -Verfahren nach einem der Anspriiche 1 bis 8 und Anspruch 9, dadurch ge- 
kermzeichnet, dass die Komponenten und das Kompositionsergebnis Petri-Netze 
sind, wobei.die TVansitionen der Komponenten Symbole oder Symbolketten iiber 
wahlweise vorhandene Kanale senden und empfangen konnen. 

11. Verfahren nach Anspruch 8 oder* 10, dadurch gekermzeichnet, dass die Petri- 
Netze sequentielle Maschinen Mn mit wahlweise mehreren Bingabekanalen und 
wahlweise mehreren Ausgabekanalen bilden, C eine endliche Menge von Kana- 
len, A eine endliche Menge von endlichen Alphabeten, 7 : C -+ A, Q =(C, A, 7) 
eine Kommunikationsregel, 

En = {e|e={(c,a)|c7€7(c) A <(c,oi) € e A.(c,a 2 ).ee => u l =a 2 )»U{0} 

eine Menge von .Ein-/Ausgabe-Ereignissen und S eine endliche Menge von Zu- 
standen ist und 

M n :={ (5,£h,i,^5o)| 6:R-*S A P:R-+Eq A RcSxEn 

A (Vl(« > x) l y]€0V(c l ir.) € z y{cy % a y ) € V : p, # Cy) A s 0 € S }, 

B mit B C C eine Menge von internen Synchronisationskanalen ist und die 

Komposition comps • M# -> 2 Mn von sequentielleh Maschinen definiert wird 

als 
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axnpB ~ { ((#!,..., K n ) | 

aBT = { ((*!,.. .,i„), (yi,...,y n ),K. -...O.^.S 1 ) I 

([( 5o , , «0 , si] , .... [(s 0n ,a=n) , s'„])' € «i x ... x <5 n 

^([(scziJ.yil.-iKso^anJ.yn]) e ft x ... X ft» 

A3H X = U *<3#v = U A(*<) : . 

»€{l,...,n) • i€{l,...,n) . . 

H x e En A H v € En 
. A V (c, ff)': (c 6 B (c, a) € fl #„) 

Af=ifx\J?v A y = H v \H s } 
3M n = { K'\3((x 1 ,...,x n ),{yi,...,yn),{s' 1> ...,s' n ),x i y)£T: 

K' = camps {[(Si, En, <5i,ft,si) , .... (S n , JSn, <5 m ft>, 4)]) }. = 

AS= (s 0> ,...,soJU U & . 

A6={ [((s 0l ,...,s 0n ),£),(5i,.. : ,s'„)]| 

((i 1 ,...,i n ),(yi,... ) y„),(si > ... J s^),i ) y) €T } ' . 

U U . 

A0 = { [((*>,, -,soJ,z),y) I 

{(xi,...,x n ),{y 1 ,...,y n ),{s' 1 ,...,s' n ),x,y) €T } 

M U 
(s'.^J'J'.^JeA?;, 

A so = (sou—.-so.) }• 

12. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die datenverar- 
beitende Netze durch eine tjbersetzung von Algorithmen gebildet werden. 

13. Verfahren nach einem' der Anspruche 9 bis 12, dadurch gekehnzeichnet, dass 
wenigstens eine Komponente eine kryptologische Kpmponente ist. . 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass wenigstens eine 
Komponente komprimierte Daten dekpmprimiert. 
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15. Verfahren nach einem der Anspriiche 13 oder 14, dadurch gekennzeichnet, 
dass eine. Komponente Daten liest und durch Veranderung dieser Daten ein 
fiir die Nutzung dieser Daten nicht oder wenig behinderndes Merkmal oder 
Wasserzeichen den Daten hmzufugt. 

16. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Verschliisse- 
ler und ein Kombinierer mehrerer Eingabekanale zu einem Ausgabekanal kom- 
poniert werden, wobei der Verschliisseler und der Kombinierer Petri-Netze sind, 
der Kombinierer die iiber die Eingabekanale empfangenen Daten auf den Aus- 
gabekanal abbildet und die Ausgabe des Kombinierers die Eingabe fur den Ver- 
schlusseler ist. 

17. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Entschliis- 
seler und ein "Separator komponiert werden, wpbei der Entschliisseler bzw. der 
.Separator ein Petri-Netz ist und eine Umkehrung eines Verschliisselers bzw. 
Kombinierers sein kann, der gemafi dem in Anspruch 16 beschriebenen Verfah- 
ren mit einem Kombinierer bzw. Verschlusseler komponiert wurde, der Separator 
die iiber den Eingabekanal empfangenen Daten auf den Ausgabekanal abbildet 
und die Ausgabe des Entschliisselers die" Eingabe fiir den Separator ist. 

18. Verfahren nach einem der Anspriiche 13 bis 17, dadurch gekennzeichnet, dass 
wenigstens eine Komponente eine kryptologische Komponente ist, die von einer 
geschiitzt ausgefuhrten kryptologischen Funktion Daten empfangt und verarbei- 
tet, wobei das Kompositionsergebins nicht oder fehlerhaft arbeitet, wenn von der 
kryptoiogischen Funktion kerne oder fehlerhafbe Daten empfangen werden. ■ 

19. Verfahren nach Anspruch IS, dadurch gekennzeichnet, dass eine Kompositi- 
on unter Auslassung der kryptologischen Komponente oder wenigstens einer der 
kryptologischen Komponenten ausgefiihrt wird, wobei das Kompositionsergeb- 
nis beziiglich der Nutzbarkeit gegeniiber dem Kompositionsergebnis, das ohne 
die Auslassung gebildet wurde, wenigsten eine Einschrankung besitzt. 

20. Verfahren zur Verarbeitung von Daten, insbesondere in Verbindung mit ei- 
nem der Anspriiche 1 bis 19, dadurch gekennzeichnet, dass ein datenverarbeiten- 
des Netz bzw. ein Programm von einer geschiitzt ausgefuhrten kryptologischen 
Funktion zweite Daten empfangt und verarbeitet und das datenverarbeitende 
Netz bzw. das Programm nicht oder fehlerhaft arbeitet, wenn keine.oder fehler- 
hafte zweite Daten empfangen werden, wobei die kryptologische Funktion mit 
der das datenverarbeitende Netz bzw. das Programm ausfuhrenden Vorrichtung 
fest verbunden ist. 
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21. Verfahren nach Anspruch 20, dadurch gekennzeichnet,_dass ein Wert iiber 
die Berechnung eines Panktionswertes der kryptologischen Funktion hinaus fur 
einen Angreifer nicht lesbar oder veranderbar gespeichert wird und bei einer wei- 
teren Berechnung eines weiteren Funktionswertes daeser Wert das Ergebnis der 
weiteren Berechnung beeinflusst, wobei der Wert sich nach einer vorgegebenen 
Regel verandert. 
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ZUSAMMENFASSUNG 

Ein Verfahren zur Verarbeitung von Daten, bei dem ein Petri-Netz kodiert, in 
einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz 
gelesen und ausgefuhrt wird, wobei Transitionen des Petri-Netzes Symbole oder 
Symbolketten mit Hilfe wenigstens eines Kopfes von wenigstens einem Band 
lesen und/oder auf wenigstens einem Band schreiben (Fig. 1). In einer Alterna- 
tive werden datenverarbeitende, kooperierende Netze komponiert, das Kompo- 
sitionsergebnis kodiert, in einen Speicher geschrieben und aus dem Speicher von 
wenigstens einer Instanz gelesen und ausgefuhrt.. Dab ei konnen Komponenten 
kryptologische Aufgaben haben. Die datenverarbeitende Netze konnen von einer 
geschutzt ausgefuhrten kryptologischen Punktion zweite Daten empfangen. Die 
Erfindung ermoglicht die Verarbeitung yon Daten, die eine Semantik-Analyse 
offengelegter, moglicherweise weniger Verarbeitungsschritte verhindert und ei- 
ne schwer trennbaxe Verknupfung der Verarbeitungsschritte mit einer Hardware 
herstellen kann. 
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Fig. 17 
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Fig. 19 
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